情報セキュリティマネジメント平成29年秋期 午前問2

問2

組織がJIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)への適合を宣言するとき,要求事項及び管理策の適用要否の考え方として,適切なものはどれか。
  • 02.png/image-size:517×158

            

分類

テクノロジ系 » セキュリティ » 情報セキュリティ管理

正解

解説

JIS Q 27001では、組織がこの規格への適合を宣言する場合には、箇条4~箇条10に規定するいかなる要求事項の除外も認められないとしています。箇条4~箇条10で規定されているのは、4.組織の状況、5.リーダーシップ、6.計画、7.支援、8.運用、9.パフォーマンス評価、10.改善に関する汎用的な要求事項です。
したがって箇条4~箇条10の要求事項については「全ての適用が必要である」が適切です。

附属書Aは管理目的及び管理策の包括的なリストです。利用者は自組織の管理策を決定する際に、この附属書Aや他の管理策集から選定することができ、また、個々の要求に合わせて新しい管理策を導入することもできます。利用者には管理策の見落としがないように附属書Aを参照することが求められていますが、すべての管理策を実施することは要求されておらず、正当な理由があれば附属書Aの管理策を除外することができます。
したがって附属書Aの管理策については「妥当な理由があれば適用除外できる」が適切です。

適切な組合せである「イ」が正解です。
© 2015-2024 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop